Ayuda Ley Protección Datos

Consentimiento RGPD: Expreso y tácito

Desde la entrada en vigor en 2018 del Reglamento General de Protección de Datos (RGPD), el único consentimiento válido para tratar los datos personales de los interesados, es el consentimiento expreso. En esta entrada vamos a analizar en profundidad el consentimiento expreso y ver en qué lugar ha quedado el consentimiento tácito y si este es aún válido.

El consentimiento en el RGPD

El consentimiento es uno de los principios de la protección de datos recogidos en el RGPD, que nos dice que debe ser una comunicación libre del interesado, en la que acepta el tratamiento de sus datos para un fin concreto, dentro de unas condiciones determinadas y de las que ha sido debidamente informado con carácter previo a dar su consentimiento.

Además, el consentimiento debe ser libre, específico, informado e inequívoco.

Hasta la entrada en vigor del RGPD, la anterior LOPD distinguía entre tres tipos de consentimiento:

Pero desde mayo de 2018, el único consentimiento válido es el consentimiento expreso.

El Consentimiento expreso

El consentimiento expreso es el que se otorga de forma explícita, concreta y directa, y que queda registrado de una o varias formas para no dejar lugar a dudas. Una de las maneras más frecuentes de otorgarlo es firmando un documento oficial, de manera que los interesados puedan consultarlo si existe algún desacuerdo en un futuro.

Podemos encontrar una definición de consentimiento expreso en el artículo 4.11 del RGPD, que recoge este principio como: «Toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen».

Como decíamos, desde la entrada en vigor del RGPD solo es válido el consentimiento expreso del interesado para poder realizar cualquier tipo de tratamiento de sus datos personales, incluido recibir comunicaciones comerciales o ceder sus datos a terceros

¿Qué es el Consentimiento expreso?

Según el RGPD el consentimiento expreso «exige que se manifieste de forma clara e inequívoca por parte del interesado que permite o consiente el tratamiento o la cesión de los que se le informa, a través de la declaración de su voluntad, que podrá realizarse por escrito, de forma verbal, a través de notificación telemática o por cualquier otro medio».

Este consentimiento existe cuando el usuario debe decir explícitamente que sí (ejemplo: «si deseas que te envíe información comercial, marca esta casilla») o que no, pero en cualquier caso debe realizar una acción. Por lo tanto, en el RGPD el consentimiento tácito ya no es suficiente.

De acuerdo al reglamento de protección de datos el consentimiento expreso debe tener las siguientes características para poder considerarse legítimo:

 

¿Cuándo indica el RGPD que debemos conseguir un consentimiento expreso?

El RGPD indica que debemos conseguir el consentimiento expreso de los interesados cuando:

¿Cómo solicitar el consentimiento expreso?

Dependiendo del medio y de los interesados, hay diferentes formas de solicitar el consentimiento expreso, si bien, como ya hemos dicho, estas siempre formas deben siempre contemplar la realización de una acción afirmativa del interesado para conceder dicho consentimiento, ya sea marcar una casilla en un formulario web, aceptar las cookies de una web o marcar «sí» en un contrato por escrito

A continuación veremos diferentes formas de solicitar el consentimiento expreso de manera más detallada, pero aquí podéis ver y descargar un modelo de consentimiento para clientes según normativa de protección de datos.

En páginas web

El Reglamento especifica que, en términos on-line, esa aceptación pueda manifestarse a través del habitual «click» de la casilla informativa, o mediante la elección de parámetros técnicos específicos para usar el servicio de que se trate (por ejemplo, la configuración del almacenamiento de «cookies» en el navegador).

No se acepta la inactividad o las casillas marcadas por defecto como consentimiento válido. Es digno de mención el requerimiento que se hace para los casos de petición de consentimiento por medios electrónicos. Debe ser clara y concreta pero que «no altere inútilmente el uso del servicio para el que se presta».

También se incorpora una prevención expresa en favor de los usuarios sobre la polémica «portabilidad» de datos. Los prestadores de servicios no podrán negar la cesión de datos a otro responsable cuando así lo haya pedido el interesado, ni al contrario, es decir, cederlos sin su consentimiento.

Respecto a cómo se debe recabar el consentimiento expreso del destinatario para la recepción de comunicaciones comerciales por correo electrónico, se puede hacer de estas dos formas:

A menores

Los datos de los niños merecen una alusión especial, debido a que pueden no ser tan conscientes de sus derechos y de los peligros o efectos de los tratamientos de sus datos. Por este motivo, el reglamento establece específicamente que en labores de mercadotecnia, en la confección de perfiles, o al momento de recoger sus datos, hay que adoptar precauciones especiales, entre las que están:

En el caso particular de padres divorciados, independientemente de que la guarda y custodia del menor en cuestión se atribuya en exclusiva a uno de ellos, no le da derecho sin más al progenitor que ostente la custodia a autorizar el tratamiento de los datos personales de su hijo menor sin el consentimiento del otro, ya que debemos tener en cuenta que en estos casos lo más normal es el ejercicio compartido de la patria potestad o representación legal del menor por parte de ambos padres, con lo que sigue siendo preciso que ambos autoricen previamente ese tratamiento.

En redes sociales

Para publicar imágenes y otros datos personales en redes sociales es necesario obtener el consentimiento expreso del titular de esos datos. El mero hecho de tener un perfil en una red social no autoriza que un tercero pueda reproducirla en un medio de comunicación sin el consentimiento previo del titular.

De manera que queda totalmente prohibido publicar fotos sin consentimiento del interesado. Es decir, que no se puede sacar una foto a través del móvil de una persona andando en la calle y colgarla en la web sin el previo consentimiento del afectado. Y no vale utilizar la excusa de que has sacado la foto en un local público. Hay siempre que respetar el límite de la vida privada de cada uno.

En ese sentido, tampoco podemos olvidar que si grabar a una persona sin su consentimiento es delito en España, publicar dicho vídeo a través de redes sociales es también un delito que atenta contra el derecho a la intimidad de las personas.

Este requisito constituye una especie de «blindaje» a la protección de la intimidad y a la propia imagen.

En casos de recopilación de datos para realizar un sorteo a través de redes sociales, el consentimiento previo es fundamental, por lo que indiscutiblemente, las empresas deben informar a los titulares afectados.

Para que la recogida de datos sea legal y posible, deberemos informar a todos los implicados y solicitar su autorización sobre:

A trabajadores

Cuando los datos personales de los trabajadores que se van a tratar no tienen una finalidad dentro de la relación contractual, es obligatorio solicitar el consentimiento del trabajador para poder hacer ese tratamiento. Además, en el momento de obtener su consentimiento, debe informarles de los derechos de acceso, rectificación y cancelación que la ley les concede, debiendo proporcionar un medio gratuito y fácil de utilizar para el ejercicio de estos derechos.

Así debemos tener en cuenta las siguientes consideraciones:

Sanidad

Los datos de salud son considerados como datos especialmente protegidos y, para poder tratarlos, se exige un consentimiento inequívoco del titular.

Este consentimiento, otorgado voluntariamente, podrá ser revocado en cualquier momento, con causa justificada, por las personas afectadas, debiendo, en dicho supuesto, cancelarse los datos existentes sobre las mismas, excepto si estos datos pudieran serles obligatoriamente exigidos.

El consentimiento informado

Mención aparte tiene el consentimiento informado sobre el tratamiento médico de los pacientes; cualquier profesional de la salud tiene la obligación de informar a sus pacientes del tratamiento que van a recibir, la necesidad de este, si existen alternativas y la posibilidad de revocar en cualquier momento este consentimiento.

El consentimiento informado es tanto una protección legal para los pacientes como para los profesionales de la saludo y debe ser siempre recabado antes de iniciar cualquier tipo de tratamiento.

Este consentimiento variará en función del área de especialidad, como podéis ver en estos modelos de consentimiento informado en psicología y consentimiento informado en odontología.

Casos en los que no es obligatorio

No se exige el consentimiento del afectado cuando:

Ejemplos de consentimiento expreso

Ahora que ya hemos visto qué es el consentimiento expreso y cómo recabarlo en diferentes escenarios, aquí tenemos algunos ejemplos de consentimiento expreso válidos:

¿Dónde almacenar este consentimiento?

Puesto que una de las características del consentimiento expreso es poder probar que se ha conseguido mediante una acción del interesado, deberemos guardar como prueba los justificantes de la obtención de dicho consentimiento.

Estos justificantes pueden almacenarse tanto por medios electrónicos en una base de datos de la empresa, como de forma física en ficheros. En cualquier caso, es muy importante guardar los consentimientos de los interesados para el tratamiento de sus datos, pues pueden ser requeridos en una inspección de la AEPD o podrán servir como prueba ante una posible denuncia.

Sanciones

Según el RGPD, el incumplimiento de los requisitos exigidos para el consentimiento en el tratamiento de datos personales será sancionado con multas administrativas de 20 millones € como máximo o, si es una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, eligiendo la de mayor cuantía.

Es decir, que el uso de datos personales sin consentimiento expreso del interesado puede considerarse una infracción y llevar aparejada sanciones en función de su gravedad.

Se consideran infracciones muy graves:

Entre las infracciones graves están:

Excepciones a la necesidad de obtener consentimiento expreso

El RGPD nos dice que el consentimiento expreso del interesado debe recabarse siempre para el tratamiento de datos personales y prohíbe explícitamente el tratamiento de categorías especiales de datos personales (origen genético o racial, opiniones políticas, convicciones religiosas o filosóficas, afiliación sindical, datos biométricos, datos relativos a la salud, la vida sexual o la orientación sexual del interesado) sin el consentimiento explícito del interesado.

Sin embargo, existen una serie de excepciones en las que no se aplica esta prohibición, que quedan recogidas en el artículo 9.2 del RPGD:

El Consentimiento tácito

El consentimiento tácito se entiende como aquel que no queda reflejado de forma expresa en medios escritos o físicos, sino también a través de acciones u omisiones indirectas. Es una forma de otorgar consentimiento más relajada, informal e indirecta.

Antes de la entrada en vigor del RGPD, en España el consentimiento estaba regulado por la Ley Orgánica de Protección de Datos. De manera que establecía en que circunstancias era necesario recabar el consentimiento de los interesados y distinguía entre diferentes tipos de consentimiento válido, entre ellos el consentimiento tácito.

¿Qué es el Consentimiento tácito?

Según la LOPD el consentimiento tácito se deduce la inacción o del silencio del interesado, de manera que se considera consentimiento tácito cuando, después de haber recibido la información correspondiente, el usuario no dice que no.

¿Se admite el consentimiento tácito actualmente?

Como ya hemos señalado a lo largo de esta entrada, no, actualmente no se admite el consentimiento tácito como válido, ni por el RGPD ni por la actual LOPDGDD, de manera que no puede haber ninguna duda entre el consentimiento expreso o tácito, puesto que el consentimiento debe ser siempre expreso (salvo en aquellas excepciones que ya hemos enumerado más arriba).

Ejemplos de consentimiento tácito

Ejemplos de de consentimiento tácito los teníamos en cláusulas tipo:

Otros tipos de consentimiento

Como decíamos, la LOPD también contemplaba otros tipos de consentimiento como válidos:

Con esto llegamos al final de esta entrada sobre el consentimiento tal y como lo recoge el RGPD; como conclusión debéis quedaros con que siempre se debe contar con el consentimiento expreso del interesado para la recogida y tratamiento de sus datos personales.

Finalmente, podéis encontrar un modelo de consentimiento de tratamiento de datos personales según el RGPD, así como otras plantillas siguiendo pulsando en el enlace.